Ottimi sull'autonomia SOCRealista su ciò che ci porta lì.
Si è parlato molto ultimamente di autonomo SOC — un futuro in cui le macchine non si limitano ad allertare, ma correlano, selezionano, indagano e rispondono.
Sembra fantastico, soprattutto se hai mai lavorato di notte immerso negli avvisi. Ma ecco la verità: non puoi automatizzare tutto a meno che l'automazione non impari da qualcuno.
Quel "qualcuno" è ancora l'analista. E non solo per fare da babysitter alla macchina, ma per influenzarlo in modi significativi.
Dal dolore del CIO all'influenza degli analisti
I veterani della sicurezza ricorderanno il Piramide del dolore del CIO, che ci ha insegnato che non tutti gli indicatori sono uguali: più il CIO è astratto, più danneggia l'aggressore quando viene rilevato.
Ora applica lo stesso ragionamento internamente:
Anche i feedback degli analisti non sono tutti uguali.
Un commento è utile.
Un verdetto giustificato che sopprime gli avvisi futuri è trasformativo.
Quindi, introduciamo un nuovo modello: il Piramide dell'impatto del feedback degli analisti — un framework per comprendere quali tipi di input umano generano un vero cambiamento e quali invece si limitano a decorare l'interfaccia.
Piramide dell'impatto del feedback degli analisti
Non tutti i feedback TP/FP sono uguali
Ecco dove le sfumature contano.
Cliccando su “Falso positivo” senza dirlo perché or per chi è di Livello 1. Potrebbe comparire nei report, ma non modifica il sistema.
Ora aggiungi:
“FP perché powershell.exe viene utilizzato per l'automazione delle patch su questo host."
Ora hai creato il feedback di livello 4. Questo può reprimere l'avviso in futuro. Oppure attiva un esclusione del rilevamento. O riponderare un modello MLAdesso sei addestrare il sistema.
Questo è più che un semplice tagging: è insegnamento.
L'analogia con Tesla: spintarella o scavalco?
- A leggera spinta sulla ruota comunica al sistema che sei impegnato
- A presa salda prende il controllo
Il feedback degli analisti funziona allo stesso modo.
A volte è solo una guida. A volte è un'acquisizione. Il trucco è assicurarsi che la macchina sappia distinguere e imparare da entrambe.
L'uomo aumentato SOC, Costruito per il feedback
At Cyber stellare, non ci limitiamo ad automatizzare il triage degli avvisi: ne siamo proprietari ciclo completo,da rilevamento alla rispostaCiò significa che possiamo fare qualcosa che la maggior parte dei fornitori non può fare:
Lascia che il feedback degli analisti viaggi a monte per influenzare il strato di rilevamento stessa.
Quindi, quando viene individuato un falso positivo, non ci limitiamo a chiuderlo automaticamente, ma possiamo sopprimerlo alla fonte. Perché prevenire il rumore è sempre meglio che gestirlo, indipendentemente dall'efficienza del tuo sistema di triage.
Ecco cosa rende la nostra piattaforma particolarmente adatta per un Umano-aumentato autonomo SOC:
- Uno in cui l'input dell'analista è impatto strutturato
- Dove ogni clic giustificato può perfezionare un modello o modellare una regola
- E dove il feedback non è un vicolo cieco, è parte del motore
Pensiero finale: il feedback è carburante
Il feedback è il modo in cui si guadagna la fiducia.
La frequenza delle onde ultrasoniche è misurata in kilohertz (kHz). Diverse frequenze puntano la grassa in modi leggermente diversi. Le frequenze più basse raggiungono la grassa più profonda, mentre le frequenze più alte lavorano più vicino alla superficie. Piramide dell'impatto del feedback degli analisti ci aiuta a dare priorità a quel feedback e a creare sistemi che agiscano su di esso con il giusto livello di sicurezza.
In fin dei conti, l'autonomia non consiste nel sostituire gli esseri umani, ma nel rispettare il loro contributo. abbastanza da lasciargli guidare la macchina.
Perché il SOC non diventa più intelligente da solo.
Diventa più intelligente imparando dal suo miglior insegnante: l'analista che sa quando dare una spintarella, quando ignorare e quando insegnare al sistema a non commettere lo stesso errore due volte.
